* [Comm] Бекдор в vsftpd?
@ 2011-07-04 12:47 Teimuraz Abashidze
2011-07-06 15:38 ` Michael Shigorin
0 siblings, 1 reply; 3+ messages in thread
From: Teimuraz Abashidze @ 2011-07-04 12:47 UTC (permalink / raw)
To: ALT Linux Community general discussions
Отсюда: http://www.opennet.ru/opennews/art.shtml?num=31082
Крис Эванс (Chris Evans), известный эксперт по компьютерной
безопасности и автор сверхзащищенного FTP-сервера vsftpd, опубликовал
уведомление об обнаружении вредоносного кода в исходных текстах
vsftpd-2.3.4.tar.gz, распространяемых с первичного сервера проекта.
После инцидента сайт проекта был перемещен со старого хостинга в
инфраструктуру Google App Engine.
Внедренный в архив vsftpd-2.3.4.tar.gz вредоносный код представляет
собой классический бэкдор, запускающий shell на TCP-порту 6200 при
наличии в имени пользователя смайлика ":)". Код бэкдора не был запутан
и легко поддается анализу (изменения составляют около десятка строк).
Удивление вызывают непродуманные действия совершивших атаку, которые
не предусмотрели в бэкдоре механизма для отправки уведомления о
возможности проникновения. Непонятно, как злоумышленники пытались
выявить пораженные бэкдором хосты. Средства оповещения и запутывание
кода являются непременными атрибутами современных бэкдоров. Все это
позволяет сделать вывод, что поражение vsftpd скорее хулиганская
выходка, чем целенаправленная атака.
Автор vsftpd настоятельно рекомендует проверять цифровую подпись для
всех распространяемых архивов с кодом. В частности, при выполнении
"gpg ./vsftpd-2.3.4.tar.gz.asc" для модифицированного архива выдается
явное предупреждение о нарушении цифровой подписи ("gpg: BAD
signature..." вместо "gpg: Good signature..."). Пока не ясно как долго
указанный архив распространялся с бэкдором и каким образом
злоумышленникам удалось взломать аккаунт на хостинге проекта (судя по
всему vsftpd размещался на shared-хостинге, поддержка которого
осуществлялась сторонней компанией).
--
Best regards,
Teimuraz Abashidze
--------------------------------------------
Linux user #140208
---Visit my home page:
http://forum.tbilicity.com - Тбилисский форум
http://raindi.ge/taichi - Тайцзицзюань в Тбилиси
http://picasaweb.google.com/tgasoft/ - Мои фото
http://teimuraz1962.livejournal.com - Я в ЖЖ
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [Comm] Бекдор в vsftpd?
2011-07-04 12:47 [Comm] Бекдор в vsftpd? Teimuraz Abashidze
@ 2011-07-06 15:38 ` Michael Shigorin
2011-07-08 8:29 ` Teimuraz Abashidze
0 siblings, 1 reply; 3+ messages in thread
From: Michael Shigorin @ 2011-07-06 15:38 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Mon, Jul 04, 2011 at 04:47:48PM +0400, Teimuraz Abashidze wrote:
> Отсюда: http://www.opennet.ru/opennews/art.shtml?num=31082
[...]
> Автор vsftpd настоятельно рекомендует проверять цифровую
> подпись для всех распространяемых архивов с кодом.
Пакету vsftpd-2.3.4-alt1 уже четыре месяца, притом за ldv@
замечены привычки вроде описанных в комментарии solardiz
по ссылке.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [Comm] Бекдор в vsftpd?
2011-07-06 15:38 ` Michael Shigorin
@ 2011-07-08 8:29 ` Teimuraz Abashidze
0 siblings, 0 replies; 3+ messages in thread
From: Teimuraz Abashidze @ 2011-07-08 8:29 UTC (permalink / raw)
To: shigorin, ALT Linux Community general discussions
2011/7/6 Michael Shigorin :
> On Mon, Jul 04, 2011 at 04:47:48PM +0400, Teimuraz Abashidze wrote:
>> Отсюда: http://www.opennet.ru/opennews/art.shtml?num=31082
> [...]
>> Автор vsftpd настоятельно рекомендует проверять цифровую
>> подпись для всех распространяемых архивов с кодом.
>
> Пакету vsftpd-2.3.4-alt1 уже четыре месяца, притом за ldv@
> замечены привычки вроде описанных в комментарии solardiz
> по ссылке.
Это прекрасно! :-))
--
Best regards,
Teimuraz Abashidze
--------------------------------------------
Linux user #140208
---Visit my home page:
http://forum.tbilicity.com - Тбилисский форум
http://raindi.ge/taichi - Тайцзицзюань в Тбилиси
http://picasaweb.google.com/tgasoft/ - Мои фото
http://teimuraz1962.livejournal.com - Я в ЖЖ
^ permalink raw reply [flat|nested] 3+ messages in thread
end of thread, other threads:[~2011-07-08 8:29 UTC | newest]
Thread overview: 3+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2011-07-04 12:47 [Comm] Бекдор в vsftpd? Teimuraz Abashidze
2011-07-06 15:38 ` Michael Shigorin
2011-07-08 8:29 ` Teimuraz Abashidze
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git